Naujausias pranešimas: Samba kritinis pažeidžiamumas
frame

Sveiki apsilankę!

Jei forume lankaisi pirmą kartą, kviečiame registruotis ir prisijungti prie diskusijų.

Prisijungti Registruotis

Named, bind servisas

MiXFiXMiXFiX Dalyvis (-ė)
edited 2012 rugsėjo 28 Į Pagalba
Sveiki, iš niekur nieko, padidėjo serverio naudojamas duomenų išsiuntimo srautas.

dg.png

Pastebėjau, kad serveryje esantis named procesas, retkarčiais naudoja 5-10% CPU resursų ir kartais, serveris nebeatsako į jame sukurtus subdomenus.

Serveryje įra įdiegtas DirectAdmin valdymo pultas.
Tad būtų įdomu sužinoti, kur ir kas sunaudoja beveik 2Mbps srauto, gal yra vykdoma kokia nors ataka į named servisą?

Komentarai

  • IV_RomanLIV_RomanL Interneto vizija
    edited 2012 rugsėjo 28
    Sveiki,

    gal galite peržiūrėti katalogą /var/log ir pateikti įtartinų įrašų iš esamų log failų? Pagal grafiką iš jūsų serverio iškeliauja srautas, o ne į serverį (Outgoing).
  • MiXFiXMiXFiX Dalyvis (-ė)
    edited 2012 rugsėjo 28
    Kokį būtent failą pažiūrėti? Nes nieko ten blogo nerandu. Jau beveik visą parą išsiuntimas iš serverio į pasaulį siekia 2Mbps, kas yra maksimumas.
    Tiesa, gal tai dėl DNS serverių? Nes mano serveryje yra 1 IP, kai DNS Serveriui reikia minimum 2ip, tad aš antrinį DNS serverį nukreipęs į ns.iv.lt.

    Išsiaiškinau, kad išjungus named servisą, išsiuntimo srautas sumažėja iki minimumo, kai tik procesas ijungiamas, jis pakyla iki 2Mbps. Ką tokiu atveju patartumėte daryti?

    Isirašiau http://www.cyberciti.biz/faq/dnstop-monitor-bind-dns-server-dns-network-traffic-from-a-shell-prompt/
    Radau ip adresą, kuris siunčia labai daug užklausų į mano named servisą.
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2012 rugsėjo 28
    Galimas DNS tarnybos atakavimas, pradziai reiketu pabandyti faile /etc/named.conf skiltyje "options" pridėti eilutę:

    allow-recursion { 127.0.0.1; };

    Atlikus pakeitimus DNS tarnyba turi būti perkraunama.
  • MiXFiXMiXFiX Dalyvis (-ė)
    edited 2012 rugsėjo 28
    Įrašius šį nustatymą, niekas nepakito, serveris vis dar yra atakuojamas iš 91.235.143.158 IP.
    att.png
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2012 rugsėjo 28
    Užblokuokite IP adresą:

    iptables -A INPUT -s 91.235.143.158 -j DROP
  • MiXFiXMiXFiX Dalyvis (-ė)
    edited 2012 rugsėjo 28
    IV_RomanL parašė: »
    Užblokuokite IP adresą:

    iptables -A INPUT -s 91.235.143.158 -j DROP

    Užblokavus IP adresą, užklausos vis tiek eina iš jo...

    Edit: Viskas gerai, adresas užbokuotas, problema išspresta.
Norėdami palikti komentarą, turite prisijungti arba registruokis.
Dedikuoti.lt
Šiame forume rasite informaciją kaip atlikti serverio administravimą, konfigūravimą, įvairių tarnybų bei papildomų aplikacijų diegimą. Taip pat pateiksime rekomendacijų, skirtų serverių saugumui, monitoringui ir optimizavimui. Kviečiame prisijungti prie dedikuotų serverių administratorių bendruomenės, dalyvauti diskusijose ir praplėsti savo žinias serverių administravimo srityje!
© 2007 - 2023 Dedikuoti.lt forumas, visos teisės saugumos.